Kontakt

O portalu | Widżet | Regulamin portalu

Doradca Dyrektora

Obowiązek zapoznania pracowników z przepisami o ochronie danych osobowych

Szkolić czy nie szkolić?

Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 r., wprowadziła do jej treści art. 36 a określający zadania administratora bezpieczeństwa informacji (dalej ABI). Na potrzeby niniejszego artykułu interesować będzie nas jedynie ust. 2 pkt. 1 lit. c wzmiankowanego przepisu. Zgodnie z nim bowiem do zadań ABI należy:

zapewnienie zapoznania osób upoważnionych  do przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych.[1]

I o ile wydawać mogłoby się, że przepis jest zrozumiały, to w doktrynie możemy spotkać się z jego skrajnie różną interpretacją.

I tak P. Barta i P. Litwiński wskazują, że

(…) obowiązek zapewnienia zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych oznacza w praktyce obowiązek przeprowadzenia szkoleń z zakresu prawa ochrony danych osobowych w organizacji.[2]

Podobną opinią w tym względzie prezentuje A. Mednis[3]. Z kolei J. Barta, P. Fajgielski i R. Markiewicz przyjmują stanowisko, zgodnie z którym to w gestii ABI należy decyzja, w jaki sposób będzie on wypełniał zadanie nałożone przez niego na ustawodawcę.[4] Może zatem przeprowadzić szkolenie, ale również uczyni zadość ustawowemu obowiązkowi, jeśli ograniczy się do przekazania pracownikowi kompletu stosownych przepisów wraz z pouczeniem o konieczności zapoznania się z nimi.

Osobiście zdecydowanie bliższe jest autorowi artykułu stanowisko wyrażone przez Bartę i Litwińskiego. Jeżeli bowiem ustawodawca wskazuje, że ABI ma obowiązek zapewnienia zapoznania właściwych osób z przepisami, to trudnym lub wręcz niemożliwym jest osiągnięcie takiego efektu, ograniczając się jedynie do de facto odebrania stosownego oświadczenia potwierdzającego ów fakt.

Podejmując ostateczną decyzję, co do tego czy szkolić pracowników, pamiętajmy, że ochrona danych osobowych to niezwykle skomplikowana materia, budząca szereg wątpliwości nawet wśród doświadczonych prawników. Pozostawienie jej do wyłącznej interpretacji pracowników, którzy z powyższą dziedziną prawa mają najczęściej do czynienia po raz pierwszy, implikować może w dłuższej perspektywie szereg problemów i potencjalne ryzyko dla Dyrektora placówki oświatowej.

I na koniec jeszcze jeden argument, który dla każdego pracodawcy winien odgrywać zasadnicze znaczenie. Wykonując szkolenia dla pracowników, dajemy jasny sygnał, że dane osobowe, zasady ich przetwarzania i podejmowane środki zabezpieczenia danych są dla nas istotne.

 A jeśli już szkolić…. to jak?

Pierwsza kwestią jest określenie, kto takie szkolenie powinien przeprowadzić. Możliwych rozwiązań mamy sporo – od ABI po zewnętrznego eksperta. Najwłaściwszą osobą w mojej ocenie (jeśli tylko dysponuje odpowiednimi predyspozycjami do przeprowadzania szkoleń) jest sam ABI. Zgodnie bowiem z ustawą o ochronie danych osobowych to na nim ciąży obowiązek nadzorowania i opracowania aktualizacji dokumentacji ochrony danych osobowych. Należy zatem przyjąć, że to właśnie ABI będzie dysponował największą wiedzą w tym zakresie. Poza tym nie bez znaczenia pozostaje świadomość pracowników, że w razie wątpliwości mogą zwracać się do osoby na stałe pracującej w placówce oświatowej.

Kolejną kwestią jest to, co swym zakresem rzeczone szkolenie powinno obejmować. Art. 36 a ust. 2 lit. c) ustawy u.o.do. wskazuje jedynie na przepisy ochrony danych osobowych. Wydaje się jednak, że zapoznanie pracowników jedynie z przepisami ustawy może być niewystarczające i koniecznym jest poszerzenie zakresu szkolenia o politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi funkcjonującymi w placówce, takim jak na przykład dziennik elektroniczny. Nie ulega bowiem wątpliwości, że prawidłowo sporządzona dokumentacja przetwarzania danych, szczegółowo omawiająca wszelkie zagadnienia związane z ochroną danych osobowych, będzie mieć istotny wpływ na budowanie świadomości bezpieczeństwa przetwarzania danych.

Ustalając program szkolenia, nie możemy także zapomnieć o zapoznaniu pracowników ze znaczeniem podstawowych definicji ustawowych, takich jak zbiór danych, administrator danych, ABI czy GIODO. Niezbędnym jest, aby po szkoleniu jego uczestnicy wiedzieli, czym jest przetwarzanie danych i w jakich sytuacjach ich pracowniczej rzeczywistości mają z nim do czynienia. Powinni wiedzieć, czym jest wyciek danych i jak należy mu zapobiegać. Koniecznym elementem szkolenia jest także zapoznanie pracowników z zakresem odpowiedzialności, która łączy się z faktem przetwarzania danych.

Przede wszystkim należy jednak zadbać, aby forma szkolenia pozwoliła jego uczestnikom na swobodne zadawanie pytań i uzyskiwanie klarownych odpowiedzi o obowiązujących przepisach i procedurach.

Czyli szkolić…. ale kogo i kiedy?

Ustawa w tym względzie daje niestety odpowiedź nieprecyzyjną. Ale jak słusznie wskazują Barta, Fajgielski i Markiewicz:

w tym przepisie zadanie związane z zapewnieniem przestrzegania przepisów odniesiono do osób upoważnionych, podczas gdy w praktyce działania te powinny być podejmowane przede wszystkim w odniesieniu do osób, które upoważnienia nie mają (a dopiero mają je uzyskać)[5].

Konkludując, szkolenie powinno zostać przeprowadzone przed podjęciem przez pracownika czynności, w ramach których będzie miał do czynienia z przetwarzaniem danych. Warto rozważyć także cykliczne szkolenia aktualizacyjne, które będą przeprowadzane w sytuacji zmiany przepisów, procedur czy dokumentacji, ale które także będą miały na celu odświeżenie już nabytej wiedzy.

 

Podstawa prawna:

Autor: Marta Roman – Pełnomocnik Zarządu ds. Prawnych firmy Librus

Komentarze do artykułu (0) skomentuj

dodaj do aktówki

Udostępnij:

Bądź na bieżąco!

Nie pozwól, by coś ważnego uszło Twojej uwadze. Jeśli powyższy artykuł jest dla Ciebie interesujący, dodaj podobne artykuły do powiadomień. Możesz również otrzymywać powiadomienia o nowych komentarzach do tego artykułu. Więcej informacji na temat powiadomień oraz szczegółowe ustawienia znajdziesz na podstronie Centrum Powiadomień.

powiadom mnie o podobnych artykułach powiadom mnie o nowych komentarzach

LogowanieZaloguj się aby dodać komentarz

pokaż keystroke

Squla

WSiP

Uniqa

WDB

AIG

Plagiat.pl

MegaMatma

KND

DD

PCG

MEDICOVER

iq.pl

aSc

PayU

AXA

Interrisk

widok klasyczny
x

Ta strona używa cookie i innych technologii. Korzystając z niej wyrażasz zgodę na ich używanie, zgodnie z aktualnymi ustawieniami przeglądarki.